Forescout Vedere Labs のセキュリティ研究者は、SAP NetWeaver のインスタンスに影響を与える最大深刻度の脆弱性を狙った現在進行中の攻撃を中国の脅威行為者と関連付けました。
SAPは4月24日、SAP NetWeaver Visual Composerの認証されていないファイルアップロードのセキュリティ上の欠陥(CVE-2025-31324として追跡)に対処するための帯域外の緊急パッチをリリースしました。
悪用に成功すると、認証されていない攻撃者がログインせずに悪意のあるファイルをアップロードできるようになり、リモートでコードが実行され、システムが完全に侵害される可能性があります。
ReliaQuestの報告によると、複数の顧客のシステムがSAP NetWeaver上の不正なファイルアップロードによって侵害され、脅威者はJSP Webシェルをパブリックディレクトリにアップロードしていたほか、ブルートラテル(Brute Ratel)レッドチームツールを攻撃のポストエクスプロイト段階で使用していました。侵害された SAP NetWeaver サーバには完全にパッチが適用されていたことから、攻撃者はゼロデイ・エクスプロイトを使用したことがわかります。
この悪用活動は、watchTowr やOnapsis を含む他のサイバーセキュリティ企業によっても確認されており、彼らは攻撃者がオンラインで公開されたパッチ未適用のインスタンス上に Web シェルバックドアをアップロードしていたことも確認しています。
また、Mandiantは、少なくとも2025年3月中旬にさかのぼるCVE-2025-31324ゼロデイ攻撃を観測しており、Onapsisは、そのハニーポットが最初に1月20日以降の偵察活動とペイロードテストを捕捉し、2月10日に悪用の試みが開始されたと、元のレポートを更新しました。
Shadowserver Foundationは現在、オンラインで公開され、CVE-2025-31324攻撃に対して脆弱な204台のSAP Netweaverサーバーを追跡している。
Onyphe CTOのPatrice Auffret氏も4月下旬に、「フォーチュン500/グローバル500社のうち20社ほどが脆弱性を抱えており、その多くが危険にさらされている」と述べ、その時点でオンライン上に露出した脆弱なインスタンスは1,284台で、そのうち474台はすでに危険にさらされていると付け加えた。
中国のハッカーに関連した攻撃
4月29日のさらに最近の攻撃は、ForescoutのVedere LabsがChaya_004として追跡した中国の脅威行為者に関連しています。
これらの攻撃は、Cloudflareになりすました変則的な自己署名証明書を使用したIPアドレスから行われ、その多くは中国のクラウドプロバイダー(Alibaba、Shenzhen Tencent、Huawei Cloud Service、China Unicomなど)のものでした。
攻撃者はまた、中国語を話す開発者によって開発されたウェブベースのリバースシェル(SuperShell)を含む、中国語のツールを侵入時に展開しました。
「この脆弱性の積極的な悪用に関する調査の一環として、私たちは中国の脅威行為者に属すると思われる悪意のあるインフラを発見しました。
「このインフラには、Supershellバックドアをホストするサーバーのネットワークが含まれ、多くの場合、中国のクラウドプロバイダー上に展開され、様々なペンテストツール(多くは中国由来)が含まれています。
SAPの管理者は、NetWeaverインスタンスに直ちにパッチを当て、メタデータ・アップローダ・サービスへのアクセスを制限し、サーバー上の不審な活動を監視し、可能であればVisual Composerサービスを無効にすることを検討するよう勧告されている。
CISAはまた、1週間前にCVE-2025-31324セキュリティ欠陥をKnown Exploited Vulnerabilities Catalogに 追加し、Binding Operational Directive (BOD) 22-01の要求に従って、5月20日までにこれらの攻撃からシステムを保護するよう米国連邦政府機関に命じている。
「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」とCISAは警告している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments